Tip 14. Realizar bloqueo de uso de herramientas como PSEXEC o powershell

Limitar el uso de aplicaciones en estaciones de trabajo es fundamental en el ámbito de la seguridad informática, sobre todo si estas aplicaciones son clasificadas como riesgosas. En este caso, herramientas que permitan tomar el control remoto de otras estaciones de trabajo y servidores y hacer ejecuciones remotas de programas.

Esta es una estrategia comúnmente empleada por los Ciberdelincuentes para robarnos información u ocupar el dispositivo como pivote y así no presentar sospechas en el robo de información.

Para evitar el uso de este tipo de aplicaciones en un ambiente corporativo, es necesario el conocimiento previo de cuáles son las aplicaciones que están implementadas (generar una línea base) en nuestros dispositivos, es decir, tener un Inventario de Software. Para esto, herramientas como #Genians, #Faronics o #Sophos nos pueden ayudar, tanto a saber que existe, como evitar la ejecución de programas clasificados como riesgosos.

Un poco más allá, en cualquier entorno, ya sea Cloud u on-premise #Guardicore podría generar políticas sobre el tráfico lateral (Este-Oeste, o la comunicación entre aplicativos dentro de nuestros servidores), así podríamos limitar o establecer el control sobre quién y qué puede acceder a nuestros servicios de red y obviamente con esto impedimos que una estación de trabajo, por ejemplo, se conecte en forma indebida a una base de datos.

REFERENCIAS: #Sophos #Faronics #Guardicore #Genians

Tip 13. Concientizar a los usuarios en el uso responsable de las tecnologías disponibles.

Uno de los puntos claves dentro de las organizaciones, es su gente. Esto también es aplicable en ciberseguridad.

Que nuestros usuarios entiendan, estén consientes y sean responsables de los procesos y las vulnerabilidades que pueden afectarlos a ellos o a sus compañías, es un trabajo diario y complejo. Para esto, es necesario tener procesos asociados a capacitar y concientizar a la gente en el uso correcto de las tecnologías #awarness.

Uno de los puntos que mas se ha comentado o de mayor uso por las compañías están asociados a reducir la superficie expuesta a ataques a través de #phishing.

#Phishing es un término informático que distingue a un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza (suplantación de identidad de tercero de confianza), para manipularla y hacer que realice acciones que no debería realizar (por ejemplo revelar información confidencial o hacer click en un enlace).

Una herramienta que nos ayuda en este proceso es #Sophos Phish Threat, que proporciona la flexibilidad y personalización que necesita la empresa para promover una cultura positiva de sensibilización sobre la seguridad y evaluar como los colaboradores podrán reaccionar frente a un ataque.

REFERENCIA: #Sophos

Tip 12. Aplicar restricciones en plataformas como NAC para asegurar el cumplimiento de los equipos que se conectan a la red.

Si hablamos de los distintos framework de seguridad, tales como PCI-DSS, NIST, CIS, ISO 27002 u otros, todos ellos establecen 6 puntos que son la base para abordar el acceso a los activos de las compañías #NAC:

  • Inventario y Control de Activos de Hardware
  • Inventario y Control de Activos de Software
  • Manejo continuo de vulnerabilidades
  • Control de Privilegios administrativos
  • Configuración segura de Hardware y software en móviles, portátiles, estaciones de trabajo y servidores
  • Mantenimiento, monitoreo y análisis de registros de auditoria.

#Genians, es un producto que nos puede ayudar a abordar estos 6 puntos, estableciendo el control de acceso a nuestros recursos de Red, aplicando políticas basadas en la identificación de los usuarios, dispositivos y las lineas bases de hardware y software definidas.

REFERENCIA: #Genians

Tip 11.Revisar de forma activa y periódicamente la creación, eliminación y modificación de Políticas (GPO) en los Controladores de dominio.

Hemos hablado de la importancia de la correcta identificación de los usuarios, y uno de los métodos más tradicionales es hacer uso del Active Directory (AD). Herramienta que cumple una función critica en toda compañía que la utiliza y no solo para el correcto reconocimiento de los usuarios, sino también los perfiles y políticas que los rodean..

El tip de hoy habla de una recomendación base, que consiste en tener el control del Dominio de nuestra empresa, en la creación, modificación y eliminación de políticas asociadas a usuarios. Mientras más ordenado está este repositorio de usuario, perfiles y políticas, nuestro trabajo de auditoria es más sencillo.

Siempre existen herramientas que nos pueden ayudar con estas tares que pueden tornarse un tanto tediosa, como es el caso de ADAudit Plus de #ManageEngine que busca justamente esto, ayudarnos con esta tarea de vital importancia. Con ello, tareas como:

  • Indicadores de posibles amenazas internas
  • Inicios de sesión de usuarios
  • Cumplimiento de regulaciones como SOX, PCI-DSS, etc..
  • Informes y alertas
  • Almacenamiento de datos (eventos auditados)
  • Configuración de GPO

Son factibles de auditar, ya sea con recursos propios o con ayudar de un auditor externo que pueda colaborar con esto.

REFERENCIA: #ManageEngine

Tip 10. Identidad Digital, Autenticación y como robustecer el quien es quien en un ámbito digital.

Siempre hemos escuchado que para reconocer o identificar correctamente a una persona en un ambiente digital se necesita conocer tres factores:

  • Algo que sabes
  • Algo que tienes
  • Algo que eres

Cuando hablamos de algo que sabes, nos referimos a incluir usuario, contraseña o preguntas frecuentes. A su vez, algo que tienes, es el uso de un token, softoken u contraseña de una única vez (OTP). Finalmente, cuando hablamos de algo que eres, nos referimos a sistemas de autenticación Biométrica (huella, retina, voz).

Hoy, en particular, ya no basta con manejar una de estas variables, tenemos que considerar múltiples (dos o mas), lo que se conoce con el nombre MFA (múlti-factor de autenticación). Anteriormente, se hablaba de 2FA, segundo factor de autenticación, pero siempre si dos es bueno, múltiples es mejor, de ahí el termino. Adicionalmente PCI DSS reemplazó el termino de 2FA por MFA.

#SecureEnvoy es una de las compañías preocupadas del adecuado reconocimiento de la identidad, hoy conocido como #IAM (Identity and Access Managment), que va emparejada con el concepto de #MFA y que son la piedra angular para hablar de temas como #PAM (Privileged Access Managment) y que en conjunto buscan una forma de evitar el robo de información o de identidad.

REFERNECIA: #SecureEnvoy

Tip 9. Modelo de Confianza Cero. Minimice la onda expansiva de los incidentes de seguridad.

Tal como comentamos en el Tip 8. El modelo de #ZeroTrust, se basa en tres pilares fundamentales:

  1. Siempre Autentique, autorice y contabilice.
  2. Limite el acceso de los usuarios con acceso justo a tiempo y estrictamente suficiente.
  3. Minimice la onda expansiva de los incidentes de seguridad al segmentar el acceso por red, usuario, dispositivos y conocimiento de las aplicaciones (#Genians para #NAC o #Guardicore para #microsegmentación)

De los cuales ya hemos comentado el primero y el segundo, a través de herramientas como #SecureEnvoy y #Centrify. Para el caso 3, según el ambiente que abordemos, Tradicional o Cloud, podemos comentar de herramientas como #Genians que nos ayudan a controlar el acceso a los recursos de RED, pasando obviamente por una adecuada segmentación de RED. Adicionalmente #Genians nos ayuda con el reconocimiento de los usuarios, dispositivos y aplicaciones para luego generar políticas de acceso.

En entornos más dinámicos #Cloud, hoy hablamos de #microsegmentación. Donde productos como #Guardicore, líder del mercado en este segmento, nos ayuda con las definiciones y la visualización del tráfico.

REFERENCIA: #SecureEnvoy #Centrify #Guardicore #Genians

Ciberdelincuentes han logrado robar código fuente y credenciales del servicio de Clave Única del estado de Chile.

Fuente: elmostrador

El Ministerio de Interior ha formalizado una denuncia ante el ministerio público por el robo del código fuente de clave única y bases de datos del servicio de Clave Única del estado.

Existen cientos de trámites realizables con clave única, dentro de los cuales se encuentran actividades tributarias, civiles y judiciales. El uso de estas credenciales robadas para acceder a estos trámites permite suplantar la identidad de la víctima y realizar fraudes tales como:

  • Emitir boletas/facturas en nombre de personas o empresas
  • Solicitar beneficios sociales
  • Modificación de antecedentes en tribunales

También existe otra arista de esta problemática y es que la clave única no es usada solo para que los ciudadanos accedan a servicios públicos, sino que también es utilizada por sistemas internos del estado, mediante los cuales los trabajadores pueden acceder y modificar información sensible, como lo es la información de salud de la población.

El futuro de las claves robadas
Hasta ahora no hay noticia de cuáles serán los siguientes pasos de los delincuentes que se hicieron de los datos, estas podrían ser vendidas en la #DeepWeb, utilizada por el mismo grupo de delincuentes para realizar fraudes, publicadas abiertamente en Internet o transformarse en material de extorsión para el gobierno de Chile.

Poca Información
La falta de información otorgada por los organismos públicos y el desconocimiento general de la gente sobre estos temas, deja al descubierto una enorme falta de leyes de protección de la información y la privacidad de la ciudadanía #GDPR . Sobre todo, en un país donde el R.U.T (número de identificación) es prácticamente público.

Los siguientes pasos para el gobierno
No basta con cambiar las contraseñas y solicitar crear nuevas claves únicas con el número de serie del carnet, es muy probable que los usuarios repitan sus contraseñas o utilicen credenciales similares, por lo tanto, es importante educar al usuario en el uso de contraseñas seguras y reforzar el sistema agregando tecnologías como múltiple factor de autenticación y monitoreo para la detección de accesos irregulares.

En #Makros creemos en un modelo robusto de ciberseguridad para facilitar la detección temprana de incidentes, la prevención y la contención de los mismos. Dentro de este modelo ofrecemos servicios que se integran con los flujos de #DevOps tales como #EthicalHacking, #RedTeaming, #AnálisisdeCódigo y #GestióndeVulnerabilidades. Esta combinación de servicios, en conjunto con nuestros productos nos permite entregar soluciones concretas a un problema que hoy en día no solo afecta a algunos negocios, sino que a todos los ciudadanos y empresas.

Tip 8. Modelo de Confianza Cero. Siempre autentique y autorice. Usar accesos con privilegios mínimos.

En los difíciles tiempos que corren, donde el cambio es constante y muy rápido, abordar los desafíos de una superficie de ataque más amplia se hace difícil con una estrategia de defensa tradicional basada en el perímetro, es por esto que hoy hablamos de una estrategia de confianza cero #ZeroTrust.

La implementación de este tipo de estrategia, no se basa en adquirir una herramienta y todo queda solucionado, sino más bien, de una implementación por etapas con una administración continua de mejoras. Preocuparse por evaluar el entorno a través de identidad, dispositivos, aplicaciones, datos, infraestructura y redes.

El primer punto a considerar es siempre autenticar, autorizar y Auditar, que va en linea con la administración de la identidad y acceso, para luego enfocarse en la administración de dispositivos.

En este sentido muchas herramientas nos pueden ayudar a abordar la tarea de la administración de la identidad basada en un repositorio de identidad, como puede ser AD/ADFS u otro, e incorporando soluciones como MFA (Multifactor de autenticación) #SecureEnvoy y soluciones para administrar los accesos a plataforma criticas #Centrify.

Este último punto esta incluido en la segunda recomendación del viaje de confianza cero, que corresponde a usar el acceso con privilegios mínimos: Limitar el acceso de los usuarios con acceso justo a tiempo y estrictamente suficiente.

REFERENCIA: #SecureEnvoy #Centrify

Auge del Teletrabajo hace recomendable la adopción de soluciones para endpoint

Este lunes, nuestro CEO @Marcelo Díaz, fue entrevistado en su calidad de experto en
Ciberseguridad, sobre este interesante tema.
A Continuación la entrevista completa y en el link la nota original: https://bit.ly/34YAzX0

¿Qué son las soluciones endpoint? ¿Qué tipos de soluciones endpoint existen?

Las soluciones de endpoint son aquellas que están destinadas a aplicar controles directamente sobre las estaciones de trabajo, servidores o todo aquel dispositivo que tenga la capacidad de instalar algún tipo de agente de seguridad. En esta linea hoy existen varias protecciones las cuales pueden ser independientes o en algunos casos soluciones totalmente completas, todas buscan cumplir una función de seguridad, y están enfocadas en poder aplicar los controles directamente en el origen de los datos. En esta linea podemos encontrar Antivirus, Antimalware, EDR, DLP, Firewall, Proxy de Endpoint, Seguridad Cloud, etc

¿En qué se diferencian a los tradicionales antivirus y firewall?

Las diferencias en realidad tienen que ver con buscar una protección mas proactiva sobre amenazas actuales que salen de lo tradicional. Un antivirus detecta por firma, un EDR por comportamiento, eso amplia la capacidad de detección frente a amenazas no detectadas. Sobre el Firewall, es una inspección basada en reglas de paso, pero también hay IDS o IPS de host lo que también tienen un carácter mas predictivo. Hay que recordar que la mayoría del malware hoy busca explotar vulnerabilidades que las empresas lamentablemente no están siempre al día en parchear

¿Por qué se han puesto de moda últimamente? ¿En qué deben fijarse las empresas antes de elegir una solución endpoint?

Mas que un tema de moda, es un tema de los niveles de ataques que existen actualmente, la verdad es que los enfoques tradicionales son poco efectivos, se requiere de tecnologías con capacidades predictivas

Las empresas deben fijarse en análisis independientes sobre las tecnologías, en ver si el partner que comercializa las soluciones tiene los niveles de competencia necesarios (cuantos años lleva en ciberseguridad), validar que otras organizaciones usan este tipo de tecnologías, y además validar si la empresa tiene el equipo necesario que se encargue de administrarlas o de darles soporte o si externalizaran este tipo de servicios

Tip 7. Evaluar riesgos derivados del desarrollo de aplicaciones, ya sea desarrollo interno o adquirido

El desarrollo de aplicaciones, ya sea web o móvil, es una parte relevante en el desarrollo de los negocios. La #TransformacionDigital, el cambio de comportamiento en la forma de comunicarse y de operar, hacer que las compañías necesiten invertir en este canal de comunicación y venta, pero la rapidez con que evoluciona, hace que la forma de establecer los procesos de desarrollo ya no sea en cascada, sino en paralelo. Así, se empiezan a implementar los métodos ágiles, y las compañías necesitan empezar a coordinar áreas que anteriormente no conversaban entre si, tales como las áreas del negocio, las áreas de seguridad y las áreas de desarrollo. Estas áreas empiezan a estar permanentemente en conflicto con un objetivo común, sacar rápidamente una actualización o un nuevo producto en un canal digital.

¿Cuál es el problema, si logramos sacar un producto en tiempo y no vemos la seguridad? El efecto de un probable ataque sobre un producto no seguro, puede ser mas nocivo que el beneficio de este.

#Veracode, líder en Gartner en AST “Application Security Testing”, nos habla de como trabajar en el Ciclo de Desarrollo (Integración Continua (CI), Entrega Continua (CD) y Despliegue) partiendo desde el análisis de código fuentes SAST (Static AST) hasta el análisis del código cuando este ya está compilado DAST (Dynamic AST)

REFERENCIAS: #Veracode